[L’Analyse] La première édition du salon Cyber Show (29-30 mai) à Paris incarne les réussites et les défis de l’écosystème français de la cybersécurité. Ce dernier dispose de nombreux atouts pour devenir une référence internationale, mais il doit encore parfaire sa stratégie.

« Nous voulons être au service du poumon économique français ». En lançant un nouvel événement dédié à la cybersécurité en France, David Berenfus, directeur du Cyber Show, savait qu’il lui faudrait marquer son identité dans un domaine où existent déjà depuis des années de grandes rencontres de référence, à Lille (Forum InCyber), Rennes (European Cyber Week) ou encore Monaco (Les Assises de la Cybersécurité). Chacun de ces événements permet déjà d’aborder la cybersécurité sous un prisme singulier, mais il n’y avait pas de grande rencontre à Paris, alors que l’Île-de-France représente une part majeure du PIB français et que 75 % des emplois cyber s’y situent, décrit le dirigeant, qui est également à l’origine de la plateforme Cyberjobs, spécialisée dans le recrutement des professionnels de la sécurité numérique.

Historiquement porté par des initiatives étatiques, puis par l’intérêt des très grandes entreprises, l’écosystème cyber français cherche désormais à toucher toutes les strates de l’économie et à changer de stature, pour devenir une référence incontournable.

« En 2023, on a vu un vrai foisonnement d’initiatives événementielles autour de la cybersécurité, ce qui montre que la filière est en phase de croissance, mais aussi qu’elle sort de son « silo » très technologique », analyse Dorothée Decrop, déléguée générale d’Hexatrust, association née de l’initiative de PME et ETI de la cybersécurité pour favoriser l’émergence de champions, et partenaire du Cyber Show. En effet, quand il est question d’autres organisations que les grands groupes et administrations, l’écosystème doit être capable de tenir un discours plus généraliste et remettre en cause ses habitudes. « C’est assez nouveau pour les salons d’essayer de toucher sérieusement des entreprises de taille plus petite », note Dorothée Decrop, qui fait de cet accompagnement sur la « cyber du dernier kilomètre » un point d’attention pour les membres d’Hexatrust.

Cap vers le grand public

Pour accélérer la structuration de cet écosystème encore jeune, le plan d’investissement France 2030 intègre depuis deux ans une « Stratégie nationale d’accélération pour la cybersécurité », aujourd’hui coordonnée par Florent Kirchner, le représentant français auprès de l’ECCC (European Cybersecurity Competence Centre), réseau visant à développer les capacités technologiques et industrielles en matière de cybersécurité des membres de l’Union européenne.

« Aujourd’hui, la volonté européenne est d’élargir la protection du numérique à tous les maillons de la chaîne, jusqu’aux PME et TPE. Tous participent très fortement au développement économique. Des réglementations comme NIS2 et DORA poussent évidemment en ce sens, mais nous portons également beaucoup d’espoir dans le Cyberscore », souligne David Berenfus en référence au « Nutri-Score » de la sécurité numérique, voté en 2022, qui doit permettre au grand public d’être mieux informé sur la sécurité des services qu’il utilise.

Depuis plusieurs mois, le marché de la cybersécurité évolue ainsi pour que celle-ci ne soit plus seulement un sujet de spécialistes, mais bien un véritable différenciateur pour le pays. Un contexte qui explique qu’aujourd’hui, la cybersécurité puisse être un sujet important dans des événements de renom comme la grand-messe nationale de l’innovation, VivaTech, ou encore récemment le rendez-vous majeur du secteur santé et médico-social SantExpo.

Pour le directeur du Cyber Show, ce mouvement généralisé pour toucher les plus petites organisations et le grand public fait clairement de la France « une nation de cybersécurité ». Il explique : « Bien sûr, les États-Unis et la Chine sont très puissants, mais nous n’avons pas à rougir de notre positionnement vu la taille de notre population. Notre chemin s’est basé sur un triptyque très fort, avec l’État et son fer de lance qu’est l’Anssi (Agence nationale de la sécurité des systèmes d’information), des grands comptes internationaux comme Thales ou Orange, et enfin des investisseurs capables de financer l’innovation ».

Des atouts, mais des marches à franchir

« Je pense qu’en matière de cybersécurité, raisonner seulement au niveau de la France est difficile », relativise cependant Aurélie Clerc, directrice de l’incubateur Cyber Booster. Si elle reconnaît que sans la Stratégie nationale cyber et le Plan France 2030, son incubateur n’existerait pas, elle attire aussi l’attention sur la difficulté de faire passer les innovations à l’échelle. « Les start-up cherchent souvent à se développer sur le marché domestique, alors que notre conviction est qu’il faudrait aller vers l’Europe beaucoup plus tôt. On ne fera pas naître des champions en passant uniquement par la France ». Et sans faire émerger de champions majeurs, l’Hexagone peut-il vraiment prétendre à tenir son rang comme « nation cyber » ?

Aurélie Clerc note que le pays est au milieu du gué : « Les compétences, l’expertise, les savoir-faire de la cybersécurité sont reconnus en France. La Stratégie nationale entraîne de nombreuses initiatives pour développer le secteur. Mais nous faisons face également à la réalité d’un marché mondial qui voit coexister de très nombreuses offres. N’importe quelle organisation va avoir tendance à rationaliser et porter son choix sur les quelques leaders, souvent étrangers ».

Talents, technologies, dynamique entrepreneuriale, foisonnement de l’écosystème d’associations, d’industriels… La France peut donc faire valoir de nombreux atouts et une chaîne de valeur solide autour de la sécurité numérique, qui va des start-up jusqu’aux très grands intégrateurs et ce, sur toutes les briques technologiques de la cybersécurité ou presque. Mais ces ingrédients sont donc encore insuffisants. « Ce sont effectivement les conditions de la réussite pour créer notre cyber-résilience française. Mais pour autant, nous n’avons pas le même système pour faire du business que les Américains par exemple. Notre marché domestique, même pensé au niveau européen, n’est pas comparable avec celui des Etats-Unis. Malgré les facilités du marché intérieur, il est fragmenté linguistiquement et culturellement », résume Dorothée Decrop. Autrement dit : « Nous avons tous les ingrédients pour devenir une grande nation cyber, mais ce n’est surtout pas le moment de se reposer sur nos lauriers, car il existe encore des manques criants ».

La cybersécurité, sujet de société

En particulier, la capacité à mener des tours de table importants, passés l’amorçage des jeunes pousses innovantes. « Il nous faut des financements de séries C ou D… et il faut que nous prouvions que l’on peut faire émerger de nouveaux grands industriels pour la filière », estime la déléguée générale d’Hexatrust. En effet, comme sur de nombreuses autres thématiques stratégiques, la France et l’Europe rêvent encore de la naissance d’un « Airbus » de la cybersécurité.

Le sujet est d’autant plus important que la filière de la cybersécurité ne peut pas être vue comme un « business comme un autre ». « C’est aussi un sujet de société. Quand on achète une technologie cyber française, il y a une dimension de développement économique, mais également de développement de l’autonomie stratégique et de la capacité du pays à faire face aux crises. Protéger un hôpital, c’est un enjeu de résilience territoriale et sociale », illustre Dorothée Decrop. Avant d’ajouter : « Les décideurs dans les organisations, les acheteurs… doivent prendre conscience qu’avec leurs actes d’achat, leurs contrats, ils ont déjà un impact majeur sur le sens que l’on donne à cette industrie ».

Cette prise de conscience se verra-t-elle lors du Cyber Show ? « On sent que les interrogations sont là, mais il faut encore laisser du temps au temps » analyse David Berenfus. « Il faut qu’on aille plus loin que ce qui se fait actuellement, pour parvenir à impliquer les organisaitons de toute taille, mais aussi et surtout des acteurs « non-cyber ». L’un de nos engagements c’est bien de favoriser ce regroupement et de le rendre visible ». Pour sa première édition, le Cyber Show visait une cinquantaine de partenaires et en a réuni plus du double, signe de la forte attente de l’écosystème pour la rencontre, qui attend 4000 visiteurs et prévoit déjà plus de 1500 rendez-vous professionnels sur place.